VikBooking Hotel Booking Engine & PMS <= 1.6.1 - Cross-Site Request Forgery in multiple functions in admin/controller.php

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Request Forgery (CSRF) en el plugin VikBooking Hotel Booking Engine & PMS, afectando a las versiones hasta la 1.6.1. Esta vulnerabilidad puede comprometer la seguridad de las funciones administrativas del plugin.

Contexto técnico

El fallo se localiza en múltiples funciones dentro del archivo admin/controller.php del plugin. CSRF permite a un atacante inducir a un usuario autenticado a realizar acciones no deseadas en la aplicación web, aprovechando la confianza que el sistema tiene en el usuario.

Impacto potencial

La explotación de esta vulnerabilidad puede permitir a un atacante llevar a cabo acciones maliciosas en nombre de un usuario legítimo, lo que podría resultar en cambios no autorizados en la configuración del sistema o en la gestión de reservas, afectando la integridad y disponibilidad del servicio.

Vector de explotación

Generalmente, el ataque se lleva a cabo mediante la creación de un enlace malicioso o un formulario que, al ser activado por el usuario objetivo, ejecuta acciones en el sistema sin su consentimiento.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin a la versión 1.6.2 o superior, que corrige el fallo. Además, se sugiere implementar medidas de seguridad adicionales, como la validación de tokens CSRF en las solicitudes críticas.

Señales de detección

Señales de riesgo incluyen la actividad inusual en las funciones administrativas del plugin, cambios no autorizados en configuraciones o reservas, y la presencia de solicitudes sospechosas en los registros del servidor.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 1.6.2 del plugin VikBooking Hotel Booking Engine & PMS.